Infection, besoin d'aide, merci [Fermé]

Signaler
-
anthony5151
Messages postés
10595
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
3 mars 2015
-
Bonjour, voilà j'ai été infecté, comme vous vous en doutez avec un key****...

J'ai beau réparer avec findy kill, la réparation ne prends pas :


################## | Eléments infectieux |


################## | Registre |


################## | Etat |

# Affichage des fichiers cachés : OK

# Mode sans echec : OK

# Uac : OK

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 2 ( Good = 2 | Bad = 4 )
# Wlansvc -> Start = 2 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# (!) windefend -> Start = 4 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# (!) wscsvc -> Start = 4 ( Good = 2 | Bad = 4 )

################## | ! Fin du rapport # FindyKill V5.038 ! |


Voilà le rapport de mbam :



Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 7

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\conhost (Trojan.Agent) -> Value: conhost -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\Users\Admin\AppData\Roaming\microsoft\conhost.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\Admin\AppData\Local\Temp\0.05719015431710417.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\Users\Admin\AppData\Local\Temp\csrss.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Windows\Tasks\{22116563-108c-42c0-a7ce-60161b75e508}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Windows\Tasks\{810401e2-dde0-454e-b0e2-aa89c9e5967c}.job (Trojan.FraudPack) -> Quarantined and deleted successfully.
c:\Users\Admin\AppData\Roaming\Adobe\plugs\mmc128.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\Admin\AppData\Roaming\Adobe\plugs\mmc202.exe (Trojan.Agent) -> Quarantined and deleted successfully.


Merci d'avance pour votre aide !

15 réponses

Messages postés
10595
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
3 mars 2015
773
Bonjour,


Bienvenue sur CCM !
Nous allons essayer de régler ton problème ensemble. D'abord, quelques rappels :

- N'ouvre pas d'autres sujets pour le même problème (que ce soit sur ce forum ou sur un autre)
- N'hésite pas à poser des questions en cas de besoin ;)
- Sois patient(e) quand tu postes un message, je ne réponds pas instantanément : je suis bénévole et je ne suis pas en permanence devant mon ordinateur. Mais rassure toi, je ne laisse jamais tomber personne ;)
- La désinfection (si nécessaire) va se dérouler en plusieurs étapes. Même si les symptômes de l'infection disparaissent, la désinfection ne sera terminée que quand je te le confirmerai --> Merci de revenir jusqu'au bout, sinon ce qu'on a fait n'aura servi à rien.


Commence par utiliser ce logiciel de diagnostic stp, ça me permettra de t'aider :

* Télécharge ZHPDiag (de Nicolas Coolman)
* Lance le (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur)
* Laisse toi guider lors de l'installation (pense à cocher la case pour créer un raccourci sur le Bureau)
* Il se lancera automatiquement à la fin de l'installation
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Rends toi sur ce site, clique sur "Parcourir" et sélectionne le rapport de ZHPDiag, choisis une durée de conservation illimitée et clique sur "créer le lien Cjoint". Copie/colle le lien fourni dans ta prochaine réponse sur le forum

Ok merci de m'aider, à noter que j'ai lancé le netoyage avec la nouvelle version de FYK, dont voici le rapport : (on a WwanSvc ni good ni bad !!)

Je suis les autres instructions...


################## | Eléments infectieux |


################## | Bagle Trace ... |


################## | Registre |


################## | Etat |

# Mode sans echec : OK


# Affichage des fichiers cachés : OK

# Uac : OK

# Ndisuio ( NDIS User Mode ) -> Start = 3 ( Good = 3 | Bad = 4 )

# EapHost ( Extensible Authentication Protocol Host ) -> Start = 2 ( Good = 2 | Bad = 4 )

# WwanSvc ( AutoConfig Service WWAN ) -> Start = 3 ( Good = 2 | Bad = 4 )

# MpsSvc ( Windows Firewall ) -> Start = 2 ( Good = 2 | Bad = 4 )

# SharedAccess ( Windows Firewall - Internet Connection Sharing ) -> Start = 2 ( Good = 2 | Bad = 4 )

# windefend ( Windows Defender ) -> Start = 2 ( Good = 2 | Bad = 4 )

# wuauserv ( Windows Update ) -> Start = 2 ( Good = 2 | Bad = 4 )

# wscsvc ( Windows Security Center ) -> Start = 2 ( Good = 2 | Bad = 4 )


################## | Fichiers corrompus |

... OK !

################## | ! Fin du rapport # FindyKill V5.053 ! |
Messages postés
10595
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
3 mars 2015
773
C'était inutile, FindyKill n'a rien détecté. Cet outil cible uniquement l'infection Bagle, ton ordinateur n'est manifestement pas touché par cette infection ;)
J'attends ton rapport de ZHPDiag
Il arrive, en attendant, avant désinfection par mbam, Ie s'ouvrait avec des pub, et firefox continu depuis une recherche google à m'envoyer sur une autre url que celle demandée !!!

Voici le lien du rapport : http://cjoint.com/?3GgsiyXFeTN

Merci
Messages postés
10595
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
3 mars 2015
773
Ce script va cibler certains éléments à supprimer :

* Ouvre ce lien, sélectionne le script en entier et copie le (Edition --> Copier)
* Fais un clic-droit sur le raccourci de ZHPFix et choisis "Exécuter en temps qu'administrateur"
* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
* Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
* Clique sur le bouton « GO » pour lancer le nettoyage,
* Copie/colle la totalité du rapport dans ta prochaine réponse


Ensuite, utilise cet outil :

* Télécharge TDSSKiller (de Kaspersky Labs) sur ton Bureau.
* Lance le (si tu utilises Windows Vista ou 7 : fais un clic-droit dessus et choisis "Exécuter en tant qu'administrateur")
* Clique sur Start Scan pour démarrer l'analyse.
* Si des éléments néfastes sont identifiés par l'outil, vérifie que Cure est bien coché. S'il indique "suspicious", laisse l'option Skip.
* Ensuite, clique sur Continue puis sur Reboot Now si nécessaire.
* Un rapport s'ouvrira au redémarrage de l'ordinateur.
* Copie/colle son contenu dans ta prochaine réponse (il se trouve également sous C:\TDSSKiller.N°deversion_Date_Heure_log.txt)


Puis fais redémarrer ton ordinateur et poste un nouveau rapport ZHPDiag stp


L'habit ne fait pas le moine.
Le savoir n'est utile que s'il est transmis
Merci voila pour zhpfix :

Rapport de ZHPFix 1.12.3335 par Nicolas Coolman, Update du 04/07/2011
Fichier d'export Registre : C:\ZHPExportRegistry-06-07-2011-20-32-06.txt
Run by Neowork at 06/07/2011 20:32:06
Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Logiciel(s) ==========
ABSENT Software Key: {CD95D125-2992-4858-B3EF-5F6FB52FBAD6}

========== Clé(s) du Registre ==========
SUPPRIME Key: HKLM\Software\Classes\Wow6432Node\TypeLib\{2D5E2D34-BED5-4B9F-9793-A31E26E6806E}
ABSENT Key: HKLM\Software\Classes\TypeLib\{2D5E2D34-BED5-4B9F-9793-A31E26E6806E}

========== Dossier(s) ==========
SUPPRIME Temporaires Windows: : 137

========== Fichier(s) ==========
ABSENT Folder/File: c:\users\user\appdata\local\temp\ufddypow.sys
SUPPRIME c:\windows\tasks\{22116563-108c-42c0-a7ce-60161b75e508}.job
SUPPRIME c:\windows\tasks\{810401e2-dde0-454e-b0e2-aa89c9e5967c}.job
ABSENT Folder/File: c:\windows\fqasea.exe
ABSENT File: c:\windows\fqasea.exe
SUPPRIME Temporaires Windows: : 591

========== Tache planifiée ==========
SUPPRIME Task: {22116563-108C-42c0-A7CE-60161B75E508}
SUPPRIME Task: {62C40AA6-4406-467a-A5A5-DFDF1B559B7A}
SUPPRIME Task: {810401E2-DDE0-454e-B0E2-AA89C9E5967C}


========== Récapitulatif ==========
2 : Clé(s) du Registre
1 : Dossier(s)
6 : Fichier(s)
1 : Logiciel(s)
3 : Tache planifiée


========== Chemin du fichier rapport ==========
C:\Program Files (x86)\ZHPDiag\ZHPFixReport.txt



End of the scan in 00mn 07s
voila pour TDS Killer :
http://cjoint.com/?3GguQcj1GwF

Note: la recherche google me rewrite toujours sur une pub a la place du site demandé !!
Voiklà pour ZHPDiag http://cjoint.com/?3GguZObepco
Merci
Messages postés
10595
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
3 mars 2015
773
Tu as le problème sur tous tes navigateurs ?
Essayons un autre outil...


Attention : Le logiciel qui suit peut faire des dégâts en cas de mauvaise utilisation ! Désactive tous tes logiciels de protection avant de l'utiliser.

* Télécharge ComboFix (de sUBs) sur ton Bureau.
* Double-clique sur ComboFix.exe afin de le lancer.
* Si tu es sous Windows XP, il va te demander d'installer la console de récupération : tu dois absolument accepter.
* Ne touche à rien pendant le scan.
* Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

Tutoriel officiel de Combofix : http://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Salut,
Le problème n'est plus systématique, mais il persiste sur quelques liens sur FF, pareil sur ie mais je ne m'en sert pas, j'ai mbam real time protection qui empêche d'aller sur le site redirigé (potentiellement malveillant) par exemple suite au clic sur le site d'mbam dans gg ! Sinon ca me redirige sur une pub, style groupon ou autre !!!!

PS : j'ai refait un scan avec mbam, cette fois-ci il ne détecte plus rien !

Merci de ton aide !

Voici le rapport combofix (qui a pris presque 1h !!) :

http://cjoint.com/?3GhoavBDqR2
Messages postés
10595
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
3 mars 2015
773
/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour NK34, il n'est pas transposable sur un autre ordinateur !

* Télécharge ce dossier NK34.zip
* Fais un clic-droit dessus --> Extraire tout --> choisis le Bureau comme destination
* Un autre dossier va apparaitre, prends le fichier CFScript.txt qui se trouve à l'intérieur et place le sur le Bureau.

* Désactive tes logiciels de protection
* Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe (comme sur ce lien)
* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
* Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt


Je voudrais aussi que tu fasses analyser un fichier :

* Rends toi sur le site http://www.virustotal.com/fr/
* Clique sur Parcourir, et navigue jusqu'au fichier suivant et valide : c:\windows\SysWow64\vdsbasy.dll
* Clique sur "Envoyer le fichier" : s'il a déjà été analysé, demande une nouvelle analyse.
* Fais un copier/coller du rapport sur le forum.

Si tu ne trouves pas le fichier, fais ceci :
* Menu Démarrer --> Panneau de configuration --> Apparence et personnalisation --> Options des dossiers --> Affichage
* Coche "Afficher les fichiers et dossiers cachés", décoche "Masquer les extensions de fichiers connus", décoche "Masquer les fichiers protégés du Système", puis valide.
* Tu pourras à nouveau masquer les fichiers cachés une fois la manipulation terminée, si tu le souhaites.

Salut, j'ai fait la manip avec combofix, par contre ie et ff ne marche plus (clé de registre manquantes !) je peux pas te poster le rapport !

C'est normal ?
merci !
Désolé en faite le redémarrage à réglé le problème !!!
Je pensais que ça avait redémarré !
Bref...

Voici le rapport : http://cjoint.com/?3GixbTL0eGL

Note: j'ai une erreur Microsoft Visual C++ runtime librairy au démarrage du pc
R6034 an application has made an attempt to load the C runtime librairy incorrectly !!

Je ne peux pas voir l'intégralité du lien c'est dans program Files x86\Com...

Merci !
Re,
Pour vdsbasy.dll, j'ai galéré, j'ai dû me donner des droits pour pouvoir le scanner il n'apparaissait pas dans l'explorer, mais on le voyait avec la fentre parcourir du site...
Bref, le rapport :

Antivirus Version Last update Result

AhnLab-V3 2011.07.09.00 2011.07.08 -

AntiVir 7.11.11.45 2011.07.08 -

Antiy-AVL 2.0.3.7 2011.07.08 -

Avast 4.8.1351.0 2011.07.08 Win32:MalOb-EI [Cryp]

Avast5 5.0.677.0 2011.07.08 Win32:MalOb-EI [Cryp]

AVG 10.0.0.1190 2011.07.08 -

BitDefender 7.2 2011.07.08 Gen:Variant.Vundo.4

CAT-QuickHeal 11.00 2011.07.08 -

ClamAV 0.97.0.0 2011.07.08 -

Commtouch 5.3.2.6 2011.07.08 -

Comodo 9322 2011.07.08 -

DrWeb 5.0.2.03300 2011.07.08 -

Emsisoft 5.1.0.8 2011.07.08 Trojan.Win32.Pirminay!IK

eSafe 7.0.17.0 2011.07.07 -

eTrust-Vet 36.1.8434 2011.07.08 -

F-Prot 4.6.2.117 2011.07.08 -

F-Secure 9.0.16440.0 2011.07.08 Gen:Variant.Vundo.4

Fortinet 4.2.257.0 2011.07.08 -

GData 22 2011.07.08 Gen:Variant.Vundo.4

Ikarus T3.1.1.104.0 2011.07.08 Trojan.Win32.Pirminay

Jiangmin 13.0.900 2011.07.08 -

K7AntiVirus 9.107.4887 2011.07.08 -

Kaspersky 9.0.0.837 2011.07.08 -

McAfee 5.400.0.1158 2011.07.08 -

McAfee-GW-Edition 2010.1D 2011.07.08 -

Microsoft 1.7000 2011.07.08 -

NOD32 6278 2011.07.08 -

Norman 6.07.10 2011.07.08 -

nProtect 2011-07-08.01 2011.07.08 -

Panda 10.0.3.5 2011.07.08 -

PCTools 8.0.0.5 2011.07.08 -

Prevx 3.0 2011.07.08 -

Rising 23.65.04.03 2011.07.08 -

Sophos 4.67.0 2011.07.08 -

SUPERAntiSpyware 4.40.0.1006 2011.07.08 -

Symantec 20111.1.0.186 2011.07.08 -

TheHacker 6.7.0.1.250 2011.07.08 -

TrendMicro 9.200.0.1012 2011.07.08 -

TrendMicro-HouseCall 9.200.0.1012 2011.07.08 -

VBA32 3.12.16.4 2011.07.08 -

VIPRE 9807 2011.07.08 -

ViRobot 2011.7.8.4558 2011.07.08 -

VirusBuster 14.0.115.1 2011.07.08 -

MD5: 8e0b0162c6cb2de65ec09df6dcbd6d64

SHA1: b5cd917b6fa1c46efa523005c60d0b84917b856d

SHA256: 663a33372741960ec68eec8649156d47f43ef26e111f3249c3b0854293cd4be9

File size: 195072 bytes

Scan date: 2011-07-08 21:42:59 (UTC)

MERCI
anthony5151
Messages postés
10595
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
3 mars 2015
773
Toujours pour ce fichier vdsbasy.dll : envoie le ici.
Préviens moi quand ce sera fait. Je pourrai ensuite y accéder et regarder directement.
Salut et merci encore...
Pour vdsbasy, j'ai fait quelque recherche, et malheureusement je l'ai supprimé...
le système se porte bien...
Pour le erreur runtime, ça provenait de mobile me, donc je l'ai désinstallé car je ne m'en sert pas !
Y'a t-il autre chose à faire ?
Messages postés
10595
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
3 mars 2015
773
As-tu encore des redirections Google ?
Poste un nouveau rapport ZHPDiag stp